【问题标题】:CRL or OCSP for self-run certificate authority and android usersCRL 或 OCSP 用于自运行的证书颁发机构和 Android 用户
【发布时间】:2015-01-13 14:24:51
【问题描述】:

哪个更容易使用?

我想知道是否有一种简单而持久的解决方案可以让我的用户(Android 手机)能够验证其他用户的证书是否未被吊销。 网上看了下,还是比较迷茫,到底是实现CRL、OCSP还是其他方式比较好。

• 该应用程序可能有大约 10,000 名用户。 • 应用程序中使用的证书由我们签名。我们自己有一个应用程序信任的相当简单的证书颁发机构。 我不喜欢使用临时解决方案,因为当我们实施更好的解决方案时,向后兼容可能会很昂贵。

【问题讨论】:

    标签: android certificate-authority ocsp certificate-revocation


    【解决方案1】:

    我不想给出答案而是发表评论,因为我没有测试过你的类似场景。但由于我没有足够的声誉来发表评论,我在回答中给出我的意见。所以,一个谦虚的请求,如果你不喜欢我的评论,请不要给我投反对票。

    在任何设备中,CRL 都应该更容易实现并且麻烦更少。为什么?因为,OCSP 响应必须由硬件/软件令牌签名。因此,当一次有 5000 个用户请求 ocsp 验证时,硬件/软件令牌需要通过多线程处理。当然,处理请求/响应的数量会有限制。另一方面,CRL 可以已经签名并存储在数据库/文件中并将其返回给用户。因此,在这种情况下,即使是 50000 个用户一次请求 CRL。我测试了 1000 个 CRL 请求,它们可以完美运行,同时只能处理 300 个 OCSP 请求。

    但是,有一件事。大多数情况下,用户希望获得当前的证书状态。在这种情况下,OCSP 对大多数人来说更有效和更可取。此外,CRL 需要工作人员定期更新。

    【讨论】:

      猜你喜欢
      • 2014-06-09
      • 2014-09-18
      • 1970-01-01
      • 2014-12-26
      • 1970-01-01
      • 1970-01-01
      • 2018-06-19
      • 2018-03-28
      相关资源
      最近更新 更多